Знижка на кілька ліцензій
База даних загроз Вразливість Вразливість CVE-2025-31324

Вразливість CVE-2025-31324

До Mezo року в Вразливість році
Перекласти на:

Дослідники з безпеки пов'язали пов'язаного з Китаєм хакера Chaya_004 з використанням критичної вразливості SAP NetWeaver, ідентифікованої як CVE-2025-31324. Ця вразливість, що має найвищий бал CVSS 10.0, дозволяє зловмисникам здійснювати віддалене виконання коду (RCE), завантажуючи загрозливі веб-оболонки через вразливу кінцеву точку /developmentserver/metadatauploader.

Ця вразливість вперше привернула увагу наприкінці квітня 2025 року, коли команди інформаційної безпеки виявили, що її активно використовують у реальному житті. Зловмисники використовували її для розгортання веб-оболок та інструментів пост-експлуатації, таких як Brute Ratel C4.

Наслідки: галузі промисловості під прицілом

З березня 2025 року цією вразливістю широко зловживають у різних галузях промисловості та географічних регіонах. Вважається, що початкове використання сталося ще 12 березня, а підтверджені успішні вторгнення відбулися між 14 та 31 березня.

До уражених секторів належать:

  • Енергетика та комунальні послуги
  • Виробництво
  • Медіа та розваги
  • Нафта і газ
  • Фармацевтичні препарати
  • Роздрібні та державні організації

Ці широкомасштабні атаки вказують на глобальну кампанію, яка потенційно може вплинути на сотні систем SAP.

Всередині шкідливої інфраструктури

Зловмисник Chaya_004 був на передовій цих кампаній, розміщуючи веб-оборонне покриття під назвою SuperShell за IP-адресою 47.97.42[.]177. Ця інфраструктура також виявила інші підозрілі елементи:

  • Порт 3232/HTTP, що обслуговує самопідписаний сертифікат, що імітує Cloudflare
  • Кілька китайськомовних інструментів та сервісів, розміщених через китайських хмарних провайдерів

Зловмисні інструменти, пов'язані з групою, включають:

  • NPS (сервер мережевих політик) : цей інструмент часто використовується для керування політиками доступу до мережі. Зловмисники можуть використовувати його для маніпулювання мережевим трафіком, що потенційно може призвести до несанкціонованого доступу або порушення зв'язку.
  • SoftEther VPN : Універсальне програмне забезпечення VPN з відкритим кодом, яке зловмисники можуть використовувати для обходу мережевої безпеки та встановлення зашифрованих з'єднань з віддаленими системами, що сприяє прихованому викраданню даних або горизонтальному переміщенню в межах скомпрометованих мереж.
  • Cobalt Strike : Широко відомий інструмент для боротьби з пошкодженими системами, що використовується для боротьби з складними постійними загрозами. Він дозволяє зловмисникам імітувати реальні кібератаки, надаючи їм можливість приховано контролювати та використовувати скомпрометовані машини.
  • Маяк розвідки активів (ARL) : інструмент розвідки, який допомагає зловмисникам картографувати мережеві активи, виявляти вразливості та отримувати інформацію про потенційні цілі в мережі, що сприяє більш ефективним та цілеспрямованим атакам.
  • Pocassist : інструмент, розроблений для допомоги у створенні та використанні експлойтів типу proof-of-concept (PoC), що допомагає зловмисникам автоматизувати процес тестування вразливостей та виконання цільових експлойтів.
  • GOSINT : Інструмент, що використовується для збору розвідувальних даних з відкритих джерел (OSINT), який допомагає зловмисникам збирати загальнодоступну інформацію для сприяння розвідці, таку як дані про співробітників, мережеві деталі або інша конфіденційна інформація, яка може бути використана в атаках.
  • GO Simple Tunnel : простий інструмент тунелювання, який використовується зловмисниками для обходу брандмауерів та інших заходів мережевої безпеки, створюючи зашифровані тунелі, які можна використовувати для непомітного переміщення трафіку або доступу до обмежених систем.
  • Простий тунель GO

    • Цей складний інструментарій у поєднанні з використанням китайської інфраструктури переконливо вказує на те, що зловмисник діє з Китаю.

    Залишатися попереду: стратегії захисту від постійної експлуатації

    Хоча випущено патчі безпеки, шкідлива активність продовжується і після їх випуску, що свідчить про те, що раніше розгорнуті веб-оболочки перепрофілюються та розширюються широким спектром шахраїв, від опортуністів до висококваліфікованих зловмисників. У цьому середовищі загроз, що змінюється, організації повинні впроваджувати комплексні заходи щодо усунення наслідків, які включають оперативне застосування офіційних оновлень SAP, ретельне обмеження доступу до вразливих кінцевих точок та деактивацію необов'язкових служб, таких як Visual Composer.

    Крім того, залишається важливим підтримувати підвищену пильність шляхом постійного моніторингу системи та журналів на предмет аномальної поведінки. Ці захисні зусилля є життєво важливими для обмеження потенційної подальшої компрометації та захисту операційної цілісності інфраструктур SAP.

    В тренді

    Calmarean.co.in

    Шахрайські веб-сайти, рекламне ПЗ, Викрадачі браузера
    В епоху, коли майже кожна онлайн-взаємодія несе потенційні ризики, користувачі повинні залишатися пильними. Один невдалий крок, такий як натискання на підозріле посилання або взаємодія з оманливим...

    Розширення для браузера Beach Wallpaper

    Потенційно небажані програми, Викрадачі браузера
    Розширення Beach Wallpaper спочатку здається нешкідливим, пропонуючи користувачам привабливу функцію демонстрації мальовничих шпалер браузера на тему пляжу. Однак після всебічного аналізу,...

    Найбільше переглянуті

    Шкідливе програмне забезпечення

    Фішинг, Спам
    33,573
    Шахрайське повідомлення «Apple Pay Suspended» — це різновид фішингової тактики, спрямованої на користувачів Apple Pay. У повідомленні стверджується, що гаманець Apple Pay користувача призупинено, і закликається натиснути посилання, щоб відновити його. Однак, натиснувши посилання, користувач перейде на підроблений веб-сайт, призначений для викрадення його особистої та фінансової інформації. Якщо...
    Завантаження...